中國消費者報報道（記者武曉莉）上海市網信辦和上海市市場監管局近期在個人信息保護領域頻頻亮劍。“亮劍浦江•2024”專項執法行動聚焦咖啡消費場景下個人信息權益保護開展專項整治，兩部門已對星巴克、瑞幸咖啡、Manner Coffee、麥咖啡、Tims天好咖啡、挪瓦咖啡、COSTA COFFEE 、M Stand、Seesaw Coffee、niiice café、Peet's Coffee、庫迪咖啡等24家連鎖咖啡企業開展普法培訓和合規指導。同時，通過對該場景下幾類常見違法違規問題的梳理，發布咖啡消費場所個人信息保護案例解析。

“從消費者權益保護的角度，無論是APP還是微信小程序都需要遵循告知同意的基本原則，充分給予消費者選擇權。”TalkingData法務總監兼數據合規官葛夢瑩對《中國消費者報》記者說，“保持收集和使用個人信息的透明度，最大限度地避免消費者權益被侵害，是企業信息保護合規的基本要求。”

問題一：強制或默認同意隱私政策

“消費者首次使用某咖啡企業微信小程序點單時，彈窗提示消費者閱讀隱私政策，但未提供拒絕選項”“下單頁面默認勾選0元入會按鈕，且默認‘我已閱讀并同意《會員服務協議》’”，該行為被認定為“強制同意隱私政策行為”和“默認同意隱私政策行為”，侵害了消費者的個人信息權益。

葛夢瑩認為，“告知—同意”是個人信息處理規則的核心內容之一，目前不同企業對于告知與同意的細化落地標準有所差異。為了更好地保護用戶個人信息權益，市場監管總局、國家標準化管理委員會于2023年5月23日發布了GB/T 42574—2023《信息安全技術 個人信息處理中告知和同意的實施指南》，針對告知要求，特別細化了三種告知時機，即首次告知、同步告知、再次告知，盡可能讓用戶對于個人信息處理規制有更清晰的理解，通過優化不同階段告知的內容和體量，以提升個人的接受度。

此外，葛夢瑩指出，如果入會涉及次月自動續費等操作，若默認勾選“自動續費”選項，則違反了《電子商務法》相關規定。根據全國信息安全標準化技術委員會《網絡支付服務數據安全指南》（征求意見稿）關于自動支付扣款的相關要求，網絡支付業務系統根據用戶自動扣款（代收代扣）授權協議自動生成自動扣款（代收代扣）協議編號，并在自動扣款（代收代扣）交易處理中驗證協議關系，確保自動扣款（代收代扣）業務由簽約商戶（收款人）定期發起，避免未經用戶授權的資金扣劃。

問題二：隱私政策缺失不實或不完整

“通過微信小程序點單，雖然彈窗提示消費者閱讀隱私政策，但該隱私政策僅為第三方隱私政策模板”“小程序隱私政策承諾外送訂單功能會在‘消費者授權同意前提下’收集精準地理位置信息，但實際使用該功能時，小程序強制消費者授權精準地理位置信息”“咖啡點單小程序隱私政策包含‘微信小程序第三方SDK目錄’一節，但未列出具體清單目錄”。

兩部門解析認為，第三方隱私政策模板由于未包含本小程序的個人信息處理者名稱、處理目的、處理方式等事項，屬于隱私政策缺失；隱私政策寫明精準地理位置信息系“授權收集”，但實際操作中卻屬于“強制收集”，存在隱私政策不實的問題。

葛夢瑩認為，APP運營者在嵌入SDK時，需要告知SDK的名稱及其提供者名稱、聯系方式、SDK個人信息處理規則，否則就屬于隱私政策不完整。SDK的個人信息保護規則可以鏈接文本等方式體現，APP如果嵌入一個或多個SDK的，可采用表格、鏈接文本等形式在APP個人信息保護政策中逐一列舉。此規定與工業和信息化部發布的《關于開展信息通信服務感知提升行動的通知》中提出的雙清單要求是一致的，即建立已收集個人信息清單和與第三方（包括SDK）共享個人信息清單。

問題三：強制或頻繁誘導收集位置信息

“點單時，小程序點單功能彈窗索要精準位置信息權限，用戶點擊拒絕后，仍持續提示用戶授權精準位置信息，否則無法點單”“小程序點單功能彈窗申請精準位置信息權限，用戶點擊拒絕后，繼續彈窗申請精準位置信息權限”，該行為被認定為強制或頻繁誘導收集精準位置信息行為。

一般情況下，人們認為精確位置是點單的必要信息，但兩部門認為《個人信息保護法》規定，處理個人信息應當遵循合法、正當、必要和誠信原則，不得通過誤導、欺詐、脅迫等方式處理個人信息。收集個人信息應當限于實現處理目的的最小范圍，不得過度收集個人信息。《APP違法違規收集使用個人信息行為認定方法》規定，用戶明確表示不同意后，仍收集個人信息或打開可收集個人信息的權限，或頻繁征求用戶同意、干擾用戶正常使用，可被認定為“未經用戶同意收集使用個人信息”。精準位置信息對于點單來說非必要信息，上述案例侵犯了消費者個人信息權益。

“合規操作要求企業必須嚴格遵循收集消費者個人信息‘最小必要’和‘告知同意’原則，才能切實履行個人信息保護義務。”葛夢瑩說道。

據了解，兩部門已要求企業要對照案例解析舉一反三進行自查整改，整改不力將依法受到處罰。